Доступная схема — веб-сайты в Microsoft Azure для SharePoint 2013Accessible diagram - Internet sites in Microsoft Azure for SharePoint 2013

Сводка: Эта статья является доступным текстовая версия схемы с именем веб-сайтов в Microsoft Azure для SharePoint 2013.Summary: This article is an accessible text version of the diagram named Internet sites in Microsoft Azure for SharePoint 2013.

На этом плакате рассказано и показано, какие преимущества для общедоступных веб-сайтов дают гибкие облачные решения и использование Azure Active Directory для учетных записей клиентов. На плакате имеется шесть указанных ниже сценариев, d которых рассказывается, какие преимущества получают веб-сайты от использования Azure. This poster describes and illustrates how public-facing Internet sites benefit from cloud elasticity and Azure AD for customer accounts. There are six different scenarios that describe how Internet sites benefit from Azure:

  • Разработка и выбор размера топологии фермы. Design and size the farm topology.

  • Настройка для Azure. Fine-tune for Azure.

  • Выбор модели Active Directory. Choose the Active Directory model.

  • Планирование функций управления удостоверениями, работы с зонами и проверки подлинности. Design for identity management, zones, and authentication.

  • Планирование сайтов и URL-адресов для межсайтовой публикации. Design sites and URLs for cross-site publishing.

  • Разработка среды Azure. Design the Azure environment.

Разработка и выбор размера топологии фермыDesign and size the farm topology

Используйте рекомендации топологии, емкости и производительности для SharePoint 2013 на сайте TechNet для построения топологии фермы.Use the topology, capacity, and performance guidance for SharePoint 2013 on TechNet to design the farm topology.

Необходимо, чтобы разрабатываемая вами ферма соответствовала требованиям к мощности и производительности. Ensure the farm you design meets the objectives for capacity and performance.

Пример: ферма среднего размера для веб-сайтов (около 85 просмотров страниц в секунду)Example: Medium Internet Sites farm (~85 page views per second)

Эта ферма предоставляет отказоустойчивой топологией фермы поиска SharePoint 2013, который оптимизирован для собрания документов, содержащей 3,400,000 элементы.This farm provides a fault-tolerant SharePoint 2013 search farm topology that is optimized for a corpus that contains 3,400,000 items.

Пример фермы обрабатывает 100-200 документов в секунду, в зависимости от языка, и обеспечивает 85 просмотров страниц в секунду и 100 запросов в секунду.The example farm processes 100-200 documents per second, depending on the language, and it accommodates 85 page views per second and 100 queries per second.

На сопроводительной схеме показана ферма среднего размера для веб-сайтов с тремя указанными ниже типами серверов. The accompanying diagram shows a medium internet sites farm with three types of servers:

  • Веб-серверыWeb servers

  • Серверы приложенийApplication servers

  • Серверы баз данныхDatabase servers

Веб-серверыWeb servers

В разделе веб-серверов имеются три веб-сервера: "Узел A", "Узел B" и "Узел C". На каждом веб-сервере есть распределенный кэш, профили пользователей, управляемые метаданные и средства обработки запросов. Кроме того, они содержат реплику раздела индекса, имеющегося в каждом сервере. In the web servers section, there are three web servers, Host A, Host B, and Host C. Each web server contains a distributed cache, user profiles, managed metadata, and query processing capabilities. They also contain an index partition replica that is in each server.

Для горизонтального масштабирования службы добавьте дополнительный веб-сервер с такими же возможностями, позволяющий увеличить скорость обработки на 28 просмотров страниц в секунду. To scale out, add an additional web server with the same capabilities, which allows for an additional 28 page views per second.

Серверы приложенийApplication servers

В разделе серверов приложений есть три сервера приложений: "Узел D", "Узел E" и "Узел F". "Узел D" содержит компоненты обхода контента, администрирования, аналитики и обработки контента. "Узел E" содержит компоненты обхода контента, администрирования и обработки контента. "Узел F" содержит компоненты обхода и обработки контента. In the application servers section, there are three application servers, Host D, Host E, and Host F. Host D contains Crawl, Admin, Analytics, and Content processing components. Host E contains Crawl, Admin, and Content processing components. Host F contains Crawl and Content processing components.

Для горизонтального масштабирования службы добавьте один сервер приложений с компонентами обхода и обработки контента, чтобы увеличить скорость обработки на 40 документов в секунду. To scale out, add one application server with a crawl component and a content processing component to process an additional 40 documents per second.

Серверы баз данныхDatabase servers

В разделе серверов баз данных имеются два сервера: "Узел G" и "Узел H". Для обеспечения отказоустойчивости серверы баз данных располагаются в сопряженных узлах. In the database servers section, there are two servers, Host G and Host H. The database servers are in paired hosts for fault tolerance.

"Узел G" содержит все базы данных SharePoint, включая базу данных администрирования поиска, базу данных ссылок, две базы данных обхода контента, базу данных аналитики и все остальные базы данных SharePoint. "Узел H" содержит все базы данных SharePoint, включая избыточные копии всех баз данных, использующих кластеризацию и зеркальное отображение SQL или SQL Server 2012 AlwaysOn. Host G contains all SharePoint database, including Search admin database, Link database, two Crawl databases, an Analytics database, and all other SharePoint databases. Host H contains all SharePoint databases, including redundant copies of all databases using SQL clustering, mirroring, or SQL Server 2012 AlwaysOn.

Настройка для AzureFine-tune for Azure

Возможно, вам потребуется настроить ферму SharePoint для групп доступности на платформе Azure. Чтобы обеспечить высокую доступность всех компонентов, убедитесь, что все роли серверов настроены одинаково.The SharePoint farm might need to be fine-tuned for availability sets in the Azure platform. To ensure high availability of all components, ensure that the server roles are all identically configured.

В примере топологии на схеме: In the example topology in the diagram:

  • веб-серверы и серверы баз данных настроены одинаково; The web servers and the database servers are identically configured.

  • три сервера приложений настроены по-разному. Необходимо настроить эти роли серверов для групп доступности в Azure.The three application servers are not identically configured. These server roles require fine tuning for availability sets in Azure.

ДоBefore

В верхней части схемы показана ферма SharePoint до ее настройки для групп доступности в Azure. На схеме три сервера приложений настроены по-разному. Количество компонентов определяется требуемыми производительностью и мощностью фермы. Эти три сервера настроены указанным ниже образом. The top portion of the diagram shows the SharePoint farm before it has been fine-tuned for availability sets in Azure. In the diagram, the three host application servers are not identically configured. The number of components is determined by the performance and capacity targets for the farm. The three servers are configured as follows:

  • Для сервера приложений "Узел D" настроены роли обхода контента, администрирования, аналитики и обработки контента. Host D application server is configured with Crawl, Admin, Analytics, and Content processing roles.

  • Для сервера приложений "Узел E" настроены роли обхода контента, администрирования и обработки контента. Host E application server is configured with Crawl, Admin, and Content processing roles.

  • Для сервера приложений "Узел F" настроены роли обхода и обработки контента. Host F application server is configured with Crawl and Content processing roles.

ПослеAfter

Это часть схемы отображает в ферме SharePoint, после его были настройки доступности задается в Azure. Эта архитектура адаптировать для Azure, мы реплицировать четыре компонента для всех трех серверов. Это увеличивает число компонентов возможности, необходимые для повышения производительности и емкости. Компромисс — это гарантирует, что этот конструктор высокой доступности всех четырех компонентов в платформе Azure при назначении эти три виртуальных машин в набор доступности.This part of the diagram shows the SharePoint farm after it has been fine-tuned for availability sets in Azure. To adapt this architecture for Azure, we'll replicate the four components across all three servers. This increases the number of components beyond what is necessary for performance and capacity. The tradeoff is that this design ensures high availability of all four components in the Azure platform when these three virtual machines are assigned to an availability set.

Все три сервера имеют роли обхода контента, администрирования, аналитики и обработки контента. The three servers are configured to all have the Crawl, Admin, Analytics, and Content processing roles.

Выбор модели Active DirectoryChoose the Active Directory model

Для всех решений SharePoint требуются доменные службы Windows Active Directory. В настоящий момент существует два варианта решений SharePoint в Azure. All SharePoint solutions require Windows Active Directory Domain Services (AD DS). At this time, there are two options for SharePoint solutions in Azure.

  • Вариант 1: Выделенного домена — выделенные и изолированный домен можно развернуть в Azure для поддержки фермы SharePoint. Это хороший выбор общедоступный веб-сайтов.Option 1: Dedicated domain — You can deploy a dedicated and isolated domain to Azure to support a SharePoint farm. This is a good choice for public-facing Internet sites.

  • Вариант 2: Расширение локального домена через VPN-подключение веб сайта. При расширении локального домена через VPN-подключение веб сайтов, доступ к ферме SharePoint как для размещенных в локальной. Вы можете воспользоваться преимуществами существующей реализации Active Directory и DNS.Option 2: Extend the on-premises domain through a site-to-site VPN connection. When you extend the on-premises domain through a site-to-site VPN connection, users access the SharePoint farm as if it were hosted on-premises. You can take advantage of your existing Active Directory and DNS implementations.

Планирование функций управления удостоверениями, работы с зонами и проверки подлинностиDesign for identity management, zones, and authentication

Учетные записи и проверка подлинностиDesign for accounts and authentication

Определите, как будет выполняться управление учетными записями и какой тип проверки подлинности будет использоваться. Determine how accounts will be managed and which type of authentication will be used.

Учетные записи для разработчиков сайта и авторовAccounts for site developers and authors

  • Добавьте учетные записи к домену в Azure. Add accounts to the domain in Azure.

  • Используйте локальные службы федерации Active Directory для создания федерации внутренних учетных записей с доменом в Azure. Use Active Directory Federation Services (AD FS) on premises to federate the internal accounts to the domain in Azure.

  • Если схема включает VPN-подключение типа "сеть-сеть", используйте внутренние учетные записи. If the design includes a site-to-site VPN connection, use the internal accounts.

Учетные записи для клиентовAccounts for customers

  • Используйте Azure Active Directory.Use Azure Active Directory.

  • Используйте другого поставщика на основе SAML. Use a different SAML-based provider.

ЗоныDesign for zones

В SharePoint 2013 управление удостоверениями учитывается в конфигурации зон и при проверке подлинности. In SharePoint 2013, identity management is factored into the configuration of zones and authentication.

Такая схема обеспечивает четкое отделение учетных записей клиентов от всех остальных учетных записей. This design provides clear separation of customer accounts from all other accounts.

  • Используйте эту схему, если необходимо обрабатывать учетные записи клиентов совершенно другим способом, чем внутренние учетные записи для авторов и разработчиков сайта. Use this design if you want customer accounts to be treated entirely different from the internal accounts for authors and site developers.

  • Эта схема позволяет использовать политики зон для ограничения действий клиентов в веб- приложении. By using this design, you can use zone policies to limit customer actions within a web application.

  • При использовании этой схемы учетные записи клиентов и внутренние учетные записи будут иметь разные URL-адреса. This design results in different URLs for customer accounts and internal accounts.

В этом примере:In this example:

  • настройка зоны по умолчанию для внутренних учетных записей;Configure the default zone for internal accounts.

  • настройка зоны экстрасети для доступа клиентов с проверкой подлинности. Для учетных записей клиентов используйте службу Microsoft Azure Active Directory или другого поставщика на основе SAML; Configure the extranet zone for customer authenticated access. Use Azure Active Directory (AD) for customer accounts, or use a different SAML-based provider.

  • настройка зоны Интернета для анонимного доступа.Configure the Internet zone for anonymous access.

Не используйте разработки двумя зонами, в которой все пользователи, прошедшие проверку настроены на использование зоны по умолчанию.Don't use a two-zone design in which all authenticated users are configured to use the default zone.

На сопроводительной схеме показана схема с тремя зонами и отделением внутренних учетных записей от учетных записей клиентов. The accompanying diagram shows a three-zone design with separation of internal and customer accounts.

Посетители и клиентам доступа клиента AD Azure в ферме SharePoint 2013 через веб-приложений в одном из двух зон. Двух зон, относятся:Visitors and customers access the Azure AD Tenant in the SharePoint 2013 farm through web applications in one of two zones. The two zones include:

  • Зона: Интернет для анонимных пользователей Zone: Internet for anonymous users

  • Зона: экстрасеть для пользователей, прошедших проверку подлинности Zone: Extranet for authenticated users

Пользователи с внутренними учетными записями получают доступ к клиенту Azure Active Directory из доменных служб Active Directory и служб федерации Active Directory в локальной среде через VPN-туннель к Azure Active Directory. Зона по умолчанию обеспечивает проверку подлинности Windows (NTLM). Users with internal accounts access the Azure Active Directory Tenant from AD DS and AD FS in the on-premises environment through the VPN tunnel to Azure AD. The Default zone provides Windows Authentication (NTLM).

Подключение к Azure Active DirectoryDesign for connecting to Azure AD

Служба Azure Active Directory предоставляет возможности управления удостоверениями и доступом для облачных служб. Вы сможете использовать облачное хранилище для данных каталогов и базовый набор служб идентификации, в том числе процессы входа пользователей и службы проверки подлинности, а также службы федерации Active Directory. Службы идентификации, входящие в состав Azure Active Directory, можно легко интегрировать с локальными развертываниями доменных служб Active Directory. Они обеспечивают полную поддержку сторонних поставщиков удостоверений.Azure AD provides identity management and access control capabilities for cloud services. Capabilities include a cloud-based store for directory data and a core set of identity services, including user logon processes, authentication services, and AD FS. The identity services that are included with Azure AD easily integrate with your on-premises AD DS deployments and fully support third-party identity providers.

На сопроводительной схеме показан указанный ниже сценарий. The accompanying diagram shows the following scenario:

При установке SharePoint 2013 с помощью Azure Active Directory, Azure Access Control Service (ACS) выполняет две функции:When integrating SharePoint 2013 with Azure Active Directory, an Azure Access Control Service (ACS) serves two purposes:

  • Azure Active Directory использует SAML 2.0, а SharePoint поддерживает только SAML 1.1. Служба контроля доступа поддерживает оба формата и выступает в роли посредника, преобразовывая форматы маркеров, передаваемых между SharePoint и Azure AD. Azure AD uses SAML 2.0, and SharePoint only works with SAML 1.1. ACS understands both formats and serves as the intermediary to transform the token formats between SharePoint and Azure AD.

  • Служба контроля доступа позволяет не использовать службу маркеров безопасности поставщика удостоверений (IP-STS) для этого сценария SAML. ACS replaces the need for the identity provider security token service (IP-STS) for this SAML scenario.

Дополнительные сведения см. в статье "Настройка Azure Active Directory с SharePoint 2013" в библиотеке TechNet. For more information, see Configure Azure AD with SharePoint 2013 in the TechNet library.

Планирование сайтов и URL-адресов для межсайтовой публикацииDesign sites and URLs for cross-site publishing

Схема с одним веб-приложением рекомендуется для сценариев публикации. A one web-application design is recommended for publishing scenarios.

  • Сайты разработки и публикации находятся в одном и том же веб-приложении. Both authoring and publishing sites are in the same web application.

  • Для публикации активов используется функция межсайтовой публикации. Cross-site publishing is used to publish assets.

Использование семейств веб-сайтов с именами на основе путей и узлов.Use path-based and host-named site collections.

  • Необходимо корневое семейство веб-сайтов. Создайте его в виде сайта с именем на основе пути. A root site collection is a requirement. Create this site as a path-based site.

  • Создайте все остальные семейства веб-сайтов с именами на основе узла. Create all other site collections as host-named site collections.

URL-адреса веб-приложения и корневого сайта Web application and root site URLs

  • В качестве URL-адреса веб-приложения используйте внутреннее имя. В качестве имени по умолчанию SharePoint использует имя локальной машины, если не указано другое имя. Вы можете использовать доменное имя, зарезервированное для внутренней сетевой среды. Use an internal name for the web application URL. SharePoint uses the local machine name as the default name unless a different name is specified. You can use a domain name that is reserved for the internal network environment.

  • При создании веб-приложения SharePoint назначает нестандартный номер порта. Используйте этот номер порта вместо порта 80 или 443. Кроме того, можно использовать другой нестандартный номер порта. SharePoint assigns a nonstandard port number when the web application is created. Use this port number instead of port 80 or port 443. Or use a different but nonstandard port number.

  • Используйте те же имя и номер порта для корневого семейства веб-сайтов с именем на основе пути. Use the same name and port number for the root site collection, which is a path-based site collection.

На сопроводительной схеме показаны службы пула приложений (например, служба поиска), взаимодействующие с семействами веб-сайтов с помощью веб-приложений. Ниже перечислены показанные на схеме семейства веб-сайтов. The accompanying diagram shows application pool services such as Search interacting with site collections using web applications. The site collections shown include:

Разработка среды AzureDesign the Azure environment

Этот пример архитектуры включает указанные ниже элементы. This example architecture includes the following elements:

  • Необязательное VPN-подключение типа "сеть-сеть" позволяет расширить локальную среду доменных служб Active Directory и DNS, связав ее с виртуальной сетью в Azure. A site-to-site VPN connection is optional and extends the on-premises Windows AD DS and DNS environment to the virtual network in Azure.

  • При желании для поддержки фермы SharePoint можно использовать выделенный домен в Azure. Optionally, use a dedicated domain in Azure to support the SharePoint farm.

  • Серверы распределены между облачными службами Azure в зависимости от их ролей. Servers are split across Azure cloud services based on role.

  • Группы доступности обеспечивают высокую доступность серверов, для которых настроены одинаковые роли. Availability sets ensure high availability of identically configured server roles.

Дополнительные сведения см. в следующей статье на веб-сайте TechNet: "Архитектуры Azure для решений SharePoint". For more information, see the following article on TechNet: Azure Architectures for SharePoint Solutions.

На сопроводительной схеме показан пример локальной среды, подключенной к виртуальной сети Azure. The accompanying diagram shows an example of an on-premises environment connecting with an Azure virtual network.

В локальную среду, являющуюся необязательным элементом среды Azure, включены указанные ниже компоненты. Included in the on-premises environment, which is an optional element of the Azure environment, are the following components:

  • Windows Server 2012 RRASWindows Server 2012 RRAS

  • Доменные службы Active DirectoryAD DS

  • VPN-шлюз, отделяющий Windows Server и доменных служб Active Directory от подсети активного VPN-шлюза A VPN gateway from Windows Server and AD DS to the Active VPN Gateway subnet

Среда виртуальной сети Azure включает указанные ниже компоненты. The Azure virtual network environment includes the following components:

  • Подсеть активного VPN-шлюза (при необходимости перекрывающаяся с локальной средой) The Active VPN Gateway subnet (overlapping with the on-premises environment, if applicable)

  • Облачная служба, включающая доменные службы Active Directory и группу доступности DNS (два сервера) Cloud service that includes AD DS and DNS availability set (two servers)

  • Облачная служба, включающая группу доступности сервера переднего плана (три сервера SharePoint) и группу доступности сервера приложений App (три сервера SharePoint) Cloud service that include the front-end server availability set (three SharePoint servers) and the App server availability set (three SharePoint servers)

  • Облачная служба, содержащая две группы доступности баз данных Cloud service that contains two database availability sets